启用“受控文件夹访问”可防止勒索软件加密重要文件,方法包括:一、通过Windows安全中心图形界面;二、运行命令windowsdefender:快速打开;三、组策略编辑器(专业版/企业版);四、PowerShell命令Set-MpPreference;五、添加自定义受保护文件夹;六、允许受信任应用访问。
如果您希望在 Windows 11 中防止勒索软件加密重要文件,则需启用“受控文件夹访问”功能。该功能通过限制未授权应用程序对指定文件夹的写入行为,实现对文档、图片等关键数据的实时防护。以下是多种启用方式:
一、通过 Windows 安全中心图形界面启用
此方法使用系统内置设置应用直达安全中心,操作直观,适用于所有 Windows 11 版本用户,无需额外工具或权限。
1、按下 Win + I 键打开“设置”应用。
2、依次进入 隐私和安全性 > Windows 安全中心 > 病毒和威胁防护。
3、在“病毒和威胁防护”页面中,向下滚动至 勒索软件防护 区域,点击 管理勒索软件防护。
4、将 受控文件夹访问 开关切换为 开 状态。
5、当系统弹出用户账户控制(UAC)提示时,点击 是 确认启用。
二、使用运行命令快速打开并启用
该方式跳过多层菜单导航,直接调用 Windows 安全中心协议,适合熟悉快捷入口的用户,能显著缩短操作路径。
1、按下 Win + R 打开“运行”对话框。
2、输入 windowsdefender: 并按回车,启动 Windows 安全中心。
3、在左侧导航栏中,点击 病毒和威胁防护。
4、在右侧区域向下滚动,点击 病毒和威胁防护设置 下方的 管理设置。
5、继续向下滚动至页面底部,点击 管理受控文件夹访问。
6、将开关设为 开,并在弹出的 UAC 提示中点击 是 完成启用。
三、通过本地组策略编辑器启用(仅限专业版/企业版)
此方法支持策略级部署与审核模式配置,适用于需批量管理或评估影响后再全面启用的场景,提供更精细的控制能力。
1、按下 Win + R,输入 gpedit.msc 并回车,打开本地组策略编辑器。
2、依次展开路径:计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒 > 攻击面减少。
3、在右侧双击 配置受控文件夹访问 策略。
4、选择 已启用,并在下方下拉菜单中设置模式为 启用 或 审核模式。
5、点击 应用,再点击 确定 保存设置。
6、运行 gpupdate /force 命令使策略立即生效,或重启 Windows 安全中心。
四、通过 PowerShell 启用(管理员权限)
该方式直接调用 Microsoft Defender API,适用于脚本自动化部署或 IT 运维人员批量启用场景,执行效率高且可集成至部署流程。
1、以 管理员身份 运行 PowerShell。
2、执行以下命令启用功能:Set-MpPreference -EnableControlledFolderAccess Enabled。
五、添加自定义受保护的文件夹
默认情况下,受控文件夹访问仅保护系统库(如文档、图片、桌面、下载),若需防护其他位置的数据,必须手动添加目标文件夹,否则关键数据仍存在风险。
1、在“管理勒索软件防护”页面中,点击 受保护的文件夹 部分。
2、点击 添加一个受保护的文件夹 按钮。
3、在弹出的文件浏览器中,导航至目标文件夹(例如 D:\ProjectData 或 E:\FamilyPhotos)并选中它。
4、点击 选择文件夹 完成添加。
六、允许受信任的应用程序访问受控文件夹
某些合法应用程序(如备份工具、同步客户端、设计软件)可能因行为特征被误判为威胁,需手动将其添加至白名单,否则其正常读写操作将被拦截。
1、在“管理勒索软件防护”页面中,点击 允许应用通过受控文件夹访问 链接。
2、点击 添加允许的应用 按钮。
3、选择 从列表中添加建议的应用 快速授权常见程序,或选择 添加未列出的应用 手动浏览并选取可执行文件(.exe)。
4、确认添加后,该应用即可对受控文件夹进行必要的读写操作。
